JP2019135577A - Control program, control method, and information processing device - Google Patents

Control program, control method, and information processing device Download PDF

Info

Publication number
JP2019135577A
JP2019135577A JP2018017973A JP2018017973A JP2019135577A JP 2019135577 A JP2019135577 A JP 2019135577A JP 2018017973 A JP2018017973 A JP 2018017973A JP 2018017973 A JP2018017973 A JP 2018017973A JP 2019135577 A JP2019135577 A JP 2019135577A
Authority
JP
Japan
Prior art keywords
file
backup
information processing
backed
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018017973A
Other languages
Japanese (ja)
Inventor
祥人 小原
Yoshito Obara
祥人 小原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018017973A priority Critical patent/JP2019135577A/en
Publication of JP2019135577A publication Critical patent/JP2019135577A/en
Pending legal-status Critical Current

Links

Images

Abstract

To perform backup processing even when processing which opens a file occurs despite a user's will.SOLUTION: A user terminal, when it detects processing which opens a file stored in an HDD (S12: affirmative, S14: affirmative), determines whether or not a backup of the file is needed on the basis of information (a value of a backup object of meta information) set in association with the file (S16: affirmative). Then, the user terminal, when it determines that the backup is needed, executes backup processing of the file as interruption processing (S18).SELECTED DRAWING: Figure 5

Description

本発明は、制御プログラム、制御方法及び情報処理装置に関する。   The present invention relates to a control program, a control method, and an information processing apparatus.

情報処理装置のユーザは、例えば、コンピュータウィルスを含む有害動作を行うプログラム等(以下、マルウェアとも呼ぶ)による情報の不正取得や破壊等(悪性動作とも呼ばれる)を防ぐ必要がある。   A user of an information processing apparatus needs to prevent unauthorized acquisition or destruction of information (also referred to as a malignant operation) by a program or the like (hereinafter also referred to as malware) that performs a harmful operation including a computer virus.

例えば、マルウェアの一種であるランサムウェアは、悪意のある者が外部から送信したメールに添付される形で送信される場合があり、メールを受信した情報処理装置においてランサムウェアを実行すると、情報処理装置内のファイルが暗号化される。そして、悪意のある者は、例えば、暗号化したファイルを復号化するための暗号鍵の譲渡の条件として、情報処理装置のユーザに対して対価を求める。   For example, ransomware, which is a type of malware, may be sent in a form attached to an email sent by a malicious person from the outside. Files in the device are encrypted. Then, for example, a malicious person asks the user of the information processing apparatus for a price as a condition for transferring an encryption key for decrypting the encrypted file.

そのため、情報処理装置のユーザは、例えば、情報処理装置にアンチウイルスソフトを予めインストールすることで被害を防止する(例えば、特許文献1、2等参照)。また、ランサムウェア対策として、手動又はツールを用いて定期的に重要なファイルのバックアップを行うことが知られている(例えば、非特許文献1等参照)。   Therefore, the user of the information processing apparatus prevents damage by, for example, installing anti-virus software in the information processing apparatus in advance (see, for example, Patent Documents 1 and 2). Further, as a countermeasure against ransomware, it is known that important files are regularly backed up manually or using a tool (for example, see Non-Patent Document 1).

特開2015−130162号公報JP, 2015-130162, A 特表2013−545208号公報Special table 2013-545208 gazette

「更新:感染が拡大中のランサムウェアの対策について」、[online]、独立行政法人情報処理推進機構、[平成30年1月25日検索]、インターネット(URL:https://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html)"Update: Measures against ransomware whose infection is spreading", [online], Information-technology Promotion Agency, [Search January 25, 2018], Internet (URL: https: //www.ipa. go.jp/security/ciadr/vul/20170628-ransomware.html)

しかしながら、情報処理装置で実行されるマルウェアには、アンチウイルスソフトが対応していない新種のマルウェアや、アンチウイルスソフトが検知することができる動作を行わないマルウェアが存在するため、アンチウイルスソフトによる対策では不十分である。   However, there are new types of malware that are not supported by anti-virus software and malware that does not perform any action that anti-virus software can detect. Is not enough.

一方、重要なファイルをバックアップする場合、最後にバックアップしてから、ランサムウェアが暗号化するまでの間の更新情報が失われるおそれがある。また、ランサムウェアが暗号化した後のファイルで、バックアップファイルを更新してしまうおそれがある。   On the other hand, when backing up an important file, there is a possibility that update information between the last backup and the encryption of the ransomware is lost. In addition, there is a possibility that the backup file is updated with the file after the ransomware encrypts.

1つの側面では、本発明は、ユーザの意思とは別にファイルを開く処理が発生した場合でもバックアップ処理を行うことが可能な制御プログラム、制御方法及び情報処理装置を提供することを目的とする。   In one aspect, an object of the present invention is to provide a control program, a control method, and an information processing apparatus capable of performing a backup process even when a file opening process occurs in addition to the user's intention.

一つの態様では、制御プログラムは、情報処理装置の記憶部に記憶されたファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定し、バックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する、処理を前記情報処理装置に実行させる制御プログラムである。   In one aspect, when the control program detects a process of opening a file stored in the storage unit of the information processing device, the control program, based on the information set in association with the file type and / or the file, This is a control program that causes the information processing apparatus to execute the process of executing the file backup process as an interrupt process when it is determined whether or not backup is necessary, and when it is determined that backup is necessary.

ユーザの意思とは別にファイルを開く処理が発生した場合でもバックアップ処理を行うことができる。   Backup processing can be performed even when file opening processing occurs separately from the user's intention.

一実施形態に係る情報処理システムの構成を概略的に示す図である。It is a figure showing roughly the composition of the information processing system concerning one embodiment. 利用者端末のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of a user terminal. 割り込み処理部の機能ブロック図である。It is a functional block diagram of an interrupt processing unit. 図4(a)〜図4(c)は、ランサムウェアがファイルを暗号化するときに発生するファイルI/Oのアクセスパターンを示す図である。FIGS. 4A to 4C are diagrams illustrating file I / O access patterns that occur when ransomware encrypts a file. 割り込み処理部の処理を示すフローチャートである。It is a flowchart which shows the process of an interruption process part. 図6(a)〜図6(c)は、ランサムウェアが利用者端末内のファイルを暗号化する場合の、利用者端末の処理について説明するための図(その1)である。FIG. 6A to FIG. 6C are diagrams (No. 1) for explaining the processing of the user terminal when the ransomware encrypts the file in the user terminal. 図7(a)〜図7(c)は、ランサムウェアが利用者端末内のファイルを暗号化する場合の、利用者端末の処理について説明するための図(その2)である。FIGS. 7A to 7C are diagrams (part 2) for explaining the processing of the user terminal when the ransomware encrypts the file in the user terminal. 図8(a)、図8(b)は、ランサムウェアが利用者端末内のファイルを暗号化する場合の、利用者端末の処理について説明するための図(その3)である。FIGS. 8A and 8B are diagrams (No. 3) for explaining the processing of the user terminal when the ransomware encrypts the file in the user terminal. 図9(a)、図9(b)は、ランサムウェアが利用者端末内のファイルを暗号化する場合の、利用者端末の処理について説明するための図(その4)である。FIGS. 9A and 9B are diagrams (No. 4) for explaining the processing of the user terminal when the ransomware encrypts the file in the user terminal.

以下、一実施形態にかかる情報処理システムについて、図1〜図9に基づいて詳細に説明する。   Hereinafter, an information processing system according to an embodiment will be described in detail with reference to FIGS.

図1には、情報処理システム100の構成が概略的に示されている。情報処理システム100は、情報処理装置としての利用者端末10と、バックアップサーバ70と、を備える。利用者端末10とバックアップサーバ70は、インターネットやLAN(Local Area Network)などのネットワーク80に接続されている。   FIG. 1 schematically shows the configuration of the information processing system 100. The information processing system 100 includes a user terminal 10 as an information processing apparatus and a backup server 70. The user terminal 10 and the backup server 70 are connected to a network 80 such as the Internet or a LAN (Local Area Network).

利用者端末10は、PC(Personal Computer)などの情報処理装置である。図2には、利用者端末10のハードウェア構成が示されている。図2に示すように、利用者端末10は、CPU(Central Processing Unit)90、ROM(Read Only Memory)92、RAM(Random Access Memory)94、記憶部(ここではHDD(Hard Disk Drive))96、ネットワークインタフェース97、表示部93、入力部95及び可搬型記憶媒体用ドライブ99等を備えている。表示部93は、液晶ディスプレイ等を含み、入力部95は、キーボードやマウス等を含む。これら利用者端末10の構成各部は、バス98に接続されている。利用者端末10では、ROM92あるいはHDD96に格納されているプログラム(制御プログラムとしての割り込みハンドラプログラム)、或いは可搬型記憶媒体用ドライブ99が可搬型記憶媒体91から読み取ったプログラムをCPU90が実行することにより、図3に示すような割り込み処理部の機能が実現される。なお、図3に示す割り込み処理部の各機能の詳細については、後述する。   The user terminal 10 is an information processing apparatus such as a PC (Personal Computer). FIG. 2 shows the hardware configuration of the user terminal 10. As shown in FIG. 2, the user terminal 10 includes a CPU (Central Processing Unit) 90, a ROM (Read Only Memory) 92, a RAM (Random Access Memory) 94, and a storage unit (here, HDD (Hard Disk Drive)) 96. A network interface 97, a display unit 93, an input unit 95, a portable storage medium drive 99, and the like. The display unit 93 includes a liquid crystal display or the like, and the input unit 95 includes a keyboard, a mouse, or the like. Each component of the user terminal 10 is connected to a bus 98. In the user terminal 10, the CPU 90 executes a program (interrupt handler program as a control program) stored in the ROM 92 or the HDD 96 or a program read by the portable storage medium drive 99 from the portable storage medium 91. The function of the interrupt processing unit as shown in FIG. 3 is realized. Details of each function of the interrupt processing unit shown in FIG. 3 will be described later.

図1に戻り、バックアップサーバ70は、HDD等の情報記憶装置を有するサーバであり、利用者端末10(図3の割り込み処理部)から送られてきたバックアップ対象のファイルをバックアップする。   Returning to FIG. 1, the backup server 70 is a server having an information storage device such as an HDD, and backs up the backup target file sent from the user terminal 10 (interrupt processing unit in FIG. 3).

次に、図3に基づいて、利用者端末10の割り込み処理部の各機能について説明する。割り込み処理部は、ランサムウェアにより重要なファイルの暗号化が行われることで、重要なファイルを失ってしまわないように、重要なファイルを適切なタイミングでバックアップする機能を有する。割り込み処理部は、図3に示すように、システムコール受信部20、検知部としてのシステムコール解析部22、判定部としてのバックアップ要否判断部24、処理部としてのバックアップ処理部26としての機能を有する。   Next, each function of the interrupt processing unit of the user terminal 10 will be described with reference to FIG. The interrupt processing unit has a function of backing up an important file at an appropriate timing so that the important file is not lost due to encryption of the important file by the ransomware. As shown in FIG. 3, the interrupt processing unit functions as a system call receiving unit 20, a system call analyzing unit 22 as a detecting unit, a backup necessity determining unit 24 as a determining unit, and a backup processing unit 26 as a processing unit. Have

システムコール受信部20は、CPU90からopen、read、close等のシステムコールが発行された場合に、該システムコールを受信して、システムコール解析部22に受け渡す。   When a system call such as open, read, and close is issued from the CPU 90, the system call receiving unit 20 receives the system call and passes it to the system call analyzing unit 22.

システムコール解析部22は、システムコール受信部20が受信したシステムコールを解析して、システムコールがファイルに対するopenシステムコールであるかを解析する。   The system call analysis unit 22 analyzes the system call received by the system call reception unit 20 and analyzes whether the system call is an open system call for a file.

バックアップ要否判断部24は、システムコールがファイルに対するopenシステムコールであった場合に、そのファイルのバックアップを行うか否かを判断する。   When the system call is an open system call for a file, the backup necessity determination unit 24 determines whether to back up the file.

バックアップ処理部26は、バックアップ要否判断部24においてファイルのバックアップを行うと判断された場合に、ファイルをバックアップサーバ70に送信することで、ファイルのバックアップを行う。   The backup processing unit 26 performs file backup by transmitting the file to the backup server 70 when the backup necessity determination unit 24 determines that the file is to be backed up.

(ランサムウェアについて)
ここで、ランサムウェアについて説明する。ランサムウェアは、悪意のある者がメールに添付する形で送信される場合があり、例えば利用者端末10においてランサムウェアが添付されたメールを受信し、添付されたランサムウェアを実行すると、ランサムウェアにより利用者端末10内のファイルの暗号化が実行される。また、ファイルの暗号化が実行されると、利用者端末10には、暗号化したファイルを復号化するための暗号鍵の譲渡の条件として対価を求める旨のメッセージが出力される。これに対し、利用者端末10のユーザが対価を支払い、ユーザに暗号鍵が渡されれば、暗号鍵を用いたファイルの復号化が可能となる。 (About ransomware)
Here, ransomware will be described. The ransomware may be transmitted in a form that a malicious person attaches to an email. For example, when the user terminal 10 receives an email attached with the ransomware and executes the attached ransomware, the ransomware is executed. Thus, encryption of the file in the user terminal 10 is executed. When the file encryption is executed, a message to the effect that the consideration is requested is output to the user terminal 10 as a condition for transferring the encryption key for decrypting the encrypted file. On the other hand, if the user of the user terminal 10 pays the price and the encryption key is given to the user, the file can be decrypted using the encryption key.

ランサムウェアがファイルを暗号化するときに発生するファイルI/Oのアクセスパターンは、図4(a)〜図4(c)に示すような3つのタイプに大別される。   File I / O access patterns generated when the ransomware encrypts a file are roughly classified into three types as shown in FIGS. 4 (a) to 4 (c).

図4(a)のタイプでは、攻撃対象となるファイルを読み込み、ファイルの内容を暗号化したうえで、その内容をファイルに上書きする。   In the type shown in FIG. 4A, a file to be attacked is read, the file contents are encrypted, and the contents are overwritten on the file.

図4(b)のタイプでは、攻撃対象となるファイルを読み込み、ファイルの内容を暗号化したうえで、その内容を新たなファイル(暗号化後)として生成する。その後、元のファイルを削除する。   In the type shown in FIG. 4B, a file to be attacked is read, the contents of the file are encrypted, and the contents are generated as a new file (after encryption). Then delete the original file.

図4(c)のタイプでは、攻撃対象となるファイルを読み込み、ファイルの内容を暗号化したうえで、その内容を新たなファイル(暗号化後)として生成する。その後、ファイルを別データで上書きして破壊する。   In the type shown in FIG. 4C, a file to be attacked is read, the contents of the file are encrypted, and the contents are generated as a new file (after encryption). Then, overwrite the file with different data and destroy it.

上述したいずれのタイプであっても、図4(a)〜図4(c)に示すように、暗号化の際には攻撃対象となるファイルが「open」されるようになっている。   In any of the types described above, as shown in FIGS. 4A to 4C, a file to be attacked is “opened” at the time of encryption.

(割り込み処理について)
次に、図3の割り込み処理部により実行される割り込み処理について、図5のフローチャートに沿って説明する。 (About interrupt processing)
Next, interrupt processing executed by the interrupt processing unit of FIG. 3 will be described with reference to the flowchart of FIG.

ステップS10では、システムコール受信部20が、システムコールが発行されるまで待機する。システムコールが発行されると、ステップS12に移行する。   In step S10, the system call receiving unit 20 waits until a system call is issued. When the system call is issued, the process proceeds to step S12.

ステップS12に移行すると、システムコール解析部22が、発行されたシステムコールがopenシステムコールか否かを判断する。発行されたシステムコールがreadやclose、delete等であった場合には、ステップS12の判断が否定されて、図5の全処理が終了する。一方、発行されたシステムコールがopenであった場合には、ステップS12の判断が肯定されて、ステップS14に移行する。   In step S12, the system call analysis unit 22 determines whether the issued system call is an open system call. If the issued system call is “read”, “close”, “delete”, etc., the determination in step S12 is denied and all the processes in FIG. 5 are terminated. On the other hand, if the issued system call is open, the determination in step S12 is affirmed and the process proceeds to step S14.

ステップS14に移行すると、システムコール解析部22は、openシステムコールのアクセス対象がHDD96に記憶されているファイルであるか否かを判断する。アクセス対象がファイルでない場合(例えば、ディレクトリなどである場合)には、ステップS14の判断が否定されて、図5の全処理が終了する。一方、アクセス対象がファイルであった場合には、ステップS14の判断が肯定されて、ステップS16に移行する。   In step S <b> 14, the system call analysis unit 22 determines whether the open system call access target is a file stored in the HDD 96. If the access target is not a file (for example, if it is a directory or the like), the determination in step S14 is denied, and the entire process of FIG. 5 ends. On the other hand, if the access target is a file, the determination in step S14 is affirmed and the process proceeds to step S16.

ステップS16に移行すると、バックアップ要否判断部24は、アクセス対象のファイルがバックアップ対象であるか否かを判断する。ここで、OS(Operating System)のファイル管理のメタ情報には、「ファイルサイズ」、「ファイル作成日時」、「ファイル更新日時」、「ファイルアクセス日時」などが含まれるが、本実施形態では、このメタ情報に「バックアップ対象」という項目(初期値は「FALSE」)を追加しておくものとする。そして、利用者端末10のユーザは、バックアップすべきファイルについては、「バックアップ対象」の項目の値として、「TRUE」を設定する。したがって、ステップS16では、バックアップ要否判断部24は、openシステムコールのアクセス対象のファイルのメタ情報を参照し、「バックアップ対象」の項目の値が「TRUE」であるか否かを判断する。値が「FALSE」であれば、ステップS16の判断は否定され、図5の全処理を終了する。一方、値が「TRUE」であれば、ステップS16の判断が肯定され、ステップS18に移行する。   In step S16, the backup necessity determination unit 24 determines whether the access target file is a backup target. Here, the file management meta information of the OS (Operating System) includes “file size”, “file creation date / time”, “file update date / time”, “file access date / time”, etc. In this embodiment, It is assumed that an item “backup target” (initial value is “FALSE”) is added to the meta information. Then, the user of the user terminal 10 sets “TRUE” as the value of the item “backup target” for the file to be backed up. Therefore, in step S16, the backup necessity determination unit 24 refers to the meta information of the file to be accessed by the open system call, and determines whether or not the value of the item “backup target” is “TRUE”. If the value is “FALSE”, the determination in step S16 is negative, and all the processes in FIG. 5 are terminated. On the other hand, if the value is “TRUE”, the determination in step S16 is affirmed, and the process proceeds to step S18.

ステップS18に移行すると、バックアップ処理部26は、バックアップサーバ70にファイルを送信し、コピー(バックアップ)する。この場合、バックアップ処理部26は、openシステムコールのアクセス対象のファイルのファイル名を、例えば、「ホスト名_IPアドレス_ホスト識別子(MACアドレス)_パス名_ファイル名_バックアップ日付(年月日時秒)」とし、世代管理できるようにしたうえで、バックアップサーバ70にファイルを送信することで、バックアップサーバ70にファイルをバックアップする。本実施形態では、バックアップする度にファイル名が変更されるため、すでにバックアップされているファイル(バックアップファイル)を新たなファイルで更新することなく、別のファイルとしてバックアップすることができる。   In step S18, the backup processing unit 26 transmits the file to the backup server 70 for copying (backup). In this case, the backup processing unit 26 sets, for example, “host name_IP address_host identifier (MAC address) _path name_file name_backup date (year / month / day / day). Second) ”, enabling generation management, and transmitting the file to the backup server 70, thereby backing up the file to the backup server 70. In the present embodiment, since the file name is changed every time backup is performed, a file that has already been backed up (backup file) can be backed up as another file without being updated with a new file.

ステップS18の処理が終了すると、図5の全処理が終了する。なお、図5の全処理が終了すると、発行されたシステムコールの処理が実行されるようになっている。例えば、発行されたシステムコールがバックアップ対象のファイルのopenシステムコールであった場合には、バックアップ対象のファイルをバックアップした後、openの処理(ファイルを開く処理)が実行されるようになっている。   When the process of step S18 ends, the entire process of FIG. 5 ends. When all the processes in FIG. 5 are completed, the issued system call is processed. For example, if the issued system call is an open system call for a file to be backed up, the open process (file opening process) is executed after the file to be backed up is backed up. .

次に、図6(a)〜図9(b)に基づいて、ランサムウェアが利用者端末10内のファイルを暗号化する場合の、利用者端末10の処理について具体的に説明する。   Next, the process of the user terminal 10 when the ransomware encrypts the file in the user terminal 10 will be specifically described with reference to FIGS. 6 (a) to 9 (b).

図6(a)には、利用者端末10及びバックアップサーバ70が模式的に示されている。図6(a)に示すように、利用者端末10は、割り込み処理部を有しており、一例として、利用者端末10のHDD96には2つのファイル(ファイル1とファイル2)が記憶されているものとする。ここでは、ファイル1はバックアップ対象とされており、ファイル2はバックアップ対象とはされていないものとする。すなわち、ファイル1のメタ情報の「バックアップ対象」の値が「TRUE」とされており、ファイル2のメタ情報の「バックアップ対象」の値が「FALSE」とされている。また、利用者端末10は、ランサムウェアに感染しているものとする。   FIG. 6A schematically shows the user terminal 10 and the backup server 70. As shown in FIG. 6A, the user terminal 10 has an interrupt processing unit. As an example, two files (file 1 and file 2) are stored in the HDD 96 of the user terminal 10. It shall be. Here, it is assumed that file 1 is a backup target and file 2 is not a backup target. That is, the value of “backup target” in the meta information of file 1 is “TRUE”, and the value of “backup target” in the meta information of file 2 is “FALSE”. Further, it is assumed that the user terminal 10 is infected with ransomware.

図6(a)の状態から、図6(b)に示すように、ランサムウェアがHDD96に記憶されているファイル1を暗号化するために、openシステムコールを発行したとする。この場合、図6(c)に示すように、割り込み処理部はopenシステムコールを受けて(図5のS12:肯定)、図7(a)に示すように、アクセス対象がファイルであるか否かを確認する(図5のS14)とともに、アクセス対象のファイルがバックアップ対象であるか否かを確認する(図5のS16)。この場合、アクセス対象(ファイル1)はバックアップ対象のファイルであるため、割り込み処理部は、図7(b)に示すようにファイル1をバックアップサーバ70にバックアップする(図5のS18)。これにより、ランサムウェアに暗号化される直前の重要なファイルをバックアップすることができる。   Assume that the ransomware issues an open system call in order to encrypt the file 1 stored in the HDD 96 as shown in FIG. 6B from the state of FIG. In this case, as shown in FIG. 6C, the interrupt processing unit receives an open system call (S12 in FIG. 5: affirmative), and as shown in FIG. 7A, whether the access target is a file or not. (S14 in FIG. 5) and whether or not the file to be accessed is a backup target (S16 in FIG. 5). In this case, since the access target (file 1) is a backup target file, the interrupt processing unit backs up the file 1 to the backup server 70 as shown in FIG. 7B (S18 in FIG. 5). This makes it possible to back up an important file immediately before being encrypted by the ransomware.

以上のようにして割り込み処理部の処理が終了すると、openシステムコールの処理が継続されるため、図7(c)に示すように、ランサムウェアによるファイル1の暗号化が実行される。   When the processing of the interrupt processing unit is completed as described above, the open system call processing is continued, and as shown in FIG. 7C, the encryption of the file 1 by the ransomware is executed.

一方、図8(a)に示すように、ランサムウェアがHDD96に記憶されているファイル2を暗号化するために、openシステムコールを発行したとする。この場合、図8(b)に示すように、割り込み処理部はopenシステムコールを受けて(図5のS12:肯定)、図9(a)に示すように、アクセス対象がファイルであるか否かを確認する(図5のS14)とともに、アクセス対象のファイルがバックアップ対象であるか否かを確認する(図5のS16)。この場合、ファイル2はバックアップ対象のファイルではないため、割り込み処理部は、ファイル2をバックアップサーバ70にバックアップしない。   On the other hand, as shown in FIG. 8A, it is assumed that the ransomware issues an open system call in order to encrypt the file 2 stored in the HDD 96. In this case, as shown in FIG. 8B, the interrupt processing unit receives the open system call (S12 in FIG. 5: affirmative), and as shown in FIG. 9A, whether or not the access target is a file. (S14 in FIG. 5) and whether or not the file to be accessed is a backup target (S16 in FIG. 5). In this case, since the file 2 is not a backup target file, the interrupt processing unit does not back up the file 2 to the backup server 70.

以上のようにして割り込み処理部の処理が終了すると、openシステムコールの処理が継続されるため、図9(b)に示すように、ランサムウェアによるファイル2の暗号化が実行されることになる。   When the processing of the interrupt processing unit is completed as described above, the open system call processing is continued, so that the encryption of the file 2 by ransomware is executed as shown in FIG. 9B. .

本実施形態では、上述のように、復元が必要な重要なファイルと、復元が不要なファイル(例えばOSのシステムファイルなど)とを区別して管理し、復元が必要な重要なファイルのみをバックアップサーバ70でバックアップすることとしている。これにより、バックアップ領域を削減できるとともに、処理量を低減することができる。   In the present embodiment, as described above, important files that need to be restored and files that do not need to be restored (for example, OS system files) are managed separately, and only important files that need to be restored are stored in the backup server. 70 is to back up. Thereby, the backup area can be reduced and the processing amount can be reduced.

なお、本実施形態では、ランサムウェアにより重要なファイルが暗号化されても、悪意のある者に対して対価を支払うことなく、重要なファイルを復元することができる。重要なファイルを復元するためには、例えば、利用者端末10のOSを再インストールするとともに、バックアップサーバ70から、暗号化直前のファイルを読み込むようにすればよい。   In the present embodiment, even if an important file is encrypted by the ransomware, the important file can be restored without paying a fee to a malicious person. In order to restore an important file, for example, the OS of the user terminal 10 may be reinstalled and the file immediately before encryption may be read from the backup server 70.

以上、詳細に説明したように、本実施形態によると、割り込み処理部は、利用者端末10のHDD96に記憶されたファイルを開く処理(openシステムコール)を検知すると(S10:肯定、S12:肯定、S14:肯定)、ファイルのメタ情報において設定された「バックアップ対象」の値(TRUE/FALSE)に基づいて、ファイルのバックアップが必要であるか否かを判定する(S16)。そして、割り込み処理部は、バックアップが必要であると判定した場合に(S16:肯定)、ファイルのバックアップ処理を割り込み処理として実行する(S18)。これにより、バックアップ対象として重要なファイルを設定しておくことで、重要なファイルがユーザの意思とは別に開かれた場合、すなわち、例えばランサムウェアにより暗号化される場合であっても、重要なファイルを暗号化前にバックアップしておくことができる。これにより、重要なファイルが暗号化されても当該ファイルを復元することができる。また、本実施形態では、バックアップ対象とされているファイルを開く処理が行われた場合にのみ、ファイルのバックアップを行うため、バックアップ領域を削減できるとともに、バックアップにおける処理量を低減することができる。   As described above in detail, according to the present embodiment, when the interrupt processing unit detects a process (open system call) for opening a file stored in the HDD 96 of the user terminal 10 (S10: affirmative, S12: affirmative). , S14: Yes), based on the “backup target” value (TRUE / FALSE) set in the meta information of the file, it is determined whether the file needs to be backed up (S16). When determining that the backup is necessary (S16: Yes), the interrupt processing unit executes the file backup process as an interrupt process (S18). By setting an important file as a backup target in this way, even if the important file is opened separately from the user's intention, that is, even when encrypted by ransomware, for example, it is important Files can be backed up before encryption. Thereby, even if an important file is encrypted, the file can be restored. In the present embodiment, since the file is backed up only when the process for opening the file to be backed up is performed, the backup area can be reduced and the amount of processing in the backup can be reduced.

また、本実施形態では、割り込み処理部は、バックアップ対象のファイルを利用者端末10とは異なる装置(本実施形態ではバックアップサーバ70)にバックアップするため、バックアップしたファイルがランサムウェアにより暗号化されるリスクを軽減することができる。   In the present embodiment, the interrupt processing unit backs up the file to be backed up to a device different from the user terminal 10 (in this embodiment, the backup server 70), so the backed up file is encrypted by the ransomware. Risk can be reduced.

また、本実施形態では、バックアップするファイルのファイル名を逐一変更するため、ファイルを上書きせずにバックアップを取ることが可能となる。これにより、暗号化されていないファイルを暗号化されたファイルで更新するのを防止することが可能となる。   In the present embodiment, the file name of the file to be backed up is changed one by one, so that it is possible to take a backup without overwriting the file. This makes it possible to prevent an unencrypted file from being updated with the encrypted file.

また、本実施形態では、ユーザ自身がバックアップ対象のファイルを開いた場合にも、当該ファイルがバックアップされるため、ユーザがファイルを更新してはいけない状態で更新してしまった場合にも、ファイルを開いた状態まで戻すことが可能である。   In this embodiment, even when the user himself opens the file to be backed up, the file is backed up. Therefore, even when the user does not update the file, the file is updated. Can be returned to the open state.

なお、上記実施形態では、ユーザの意思とは別にファイルが開かれる場合の例として、ランサムウェアによる暗号化処理について説明したが、これに限られるものではない。すなわち、上記実施形態においては、例えばランサムウェア以外のマルウェア等によりユーザの意思とは別にファイルが開かれた場合にも、ファイルをバックアップすることができるようになっている。   In the above embodiment, the encryption process using ransomware has been described as an example in which a file is opened separately from the user's intention. However, the present invention is not limited to this. That is, in the above-described embodiment, the file can be backed up even when the file is opened separately from the user's intention by, for example, malware other than ransomware.

なお、上記実施形態では、ユーザがバックアップ対象のファイルのメタ情報を書き換えることで、バックアップするファイルとバックアップしないファイルとを区別する場合について説明したが、これに限られるものではない。例えば、ファイルごとに、バックアップ対象か否か(TRUE/FALSE)を定義したテーブルを用意してもよい。この場合、バックアップ要否判断部24は、当該テーブルを参照することで、バックアップの要否を判断することができる。なお、テーブルにおいては、ファイルの種別ごとに、バックアップ対象か否かを定義することとしてもよい。この場合、例えば、テキストファイルをバックアップ対象とし、音声ファイルをバックアップ対象としない、などとすることができる。また、テーブルにおいて、ファイルの作成者ごとに、バックアップ対象か否かを定義することとしてもよい。   In the above-described embodiment, the case has been described in which the user rewrites the meta information of the file to be backed up to distinguish the file to be backed up from the file to be backed up. However, the present invention is not limited to this. For example, you may prepare the table which defined whether it is a backup object (TRUE / FALSE) for every file. In this case, the backup necessity determination unit 24 can determine the necessity of backup by referring to the table. In the table, it may be defined for each file type whether or not it is a backup target. In this case, for example, a text file can be a backup target, and an audio file can be a backup target. In the table, for each file creator, it may be defined whether or not it is a backup target.

また、例えば、ディレクトリ毎にバックアップ対象か否か(TRUE/FALSE)を定義してもよい。この場合、ユーザは、バックアップ対象のディレクトリに重要なファイルを格納することで、重要なファイルを自動的にバックアップ対象にすることができる。   Further, for example, it may be defined for each directory whether or not it is a backup target (TRUE / FALSE). In this case, the user can automatically set the important file as the backup target by storing the important file in the backup target directory.

なお、上記実施形態では、ファイルをバックアップサーバ70にバックアップする場合について説明したが、これに限らず、利用者端末10内にファイルをバックアップすることとしてもよい。   In the above embodiment, the case where the file is backed up to the backup server 70 has been described. However, the present invention is not limited to this, and the file may be backed up in the user terminal 10.

なお、上記実施形態においては、複数の利用者端末10で、1つのバックアップサーバ70を共用してもよい。   In the embodiment, a plurality of user terminals 10 may share one backup server 70.

なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記憶媒体(ただし、搬送波は除く)に記録しておくことができる。   The above processing functions can be realized by a computer. In that case, a program describing the processing contents of the functions that the processing apparatus should have is provided. By executing the program on a computer, the above processing functions are realized on the computer. The program describing the processing contents can be recorded on a computer-readable storage medium (excluding a carrier wave).

プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記憶媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。   When distributing the program, for example, the program is sold in the form of a portable storage medium such as a DVD (Digital Versatile Disc) or a CD-ROM (Compact Disc Read Only Memory) on which the program is recorded. It is also possible to store the program in a storage device of a server computer and transfer the program from the server computer to another computer via a network.

プログラムを実行するコンピュータは、例えば、可搬型記憶媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記憶媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。   The computer that executes the program stores, for example, the program recorded in the portable storage medium or the program transferred from the server computer in its own storage device. Then, the computer reads the program from its own storage device and executes processing according to the program. The computer can also read the program directly from the portable storage medium and execute processing according to the program. Further, each time the program is transferred from the server computer, the computer can sequentially execute processing according to the received program.

上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。   The above-described embodiment is an example of a preferred embodiment of the present invention. However, the present invention is not limited to this, and various modifications can be made without departing from the scope of the present invention.

なお、以上の実施形態の説明に関して、更に以下の付記を開示する。
(付記1) 情報処理装置の記憶部に記憶されたファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定し、
バックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する、
処理を前記情報処理装置に実行させることを特徴とする制御プログラム。
(付記2) 前記バックアップ処理は、前記情報処理装置とは異なる装置へのバックアップ処理である、
ことを特徴とする付記1に記載の制御プログラム。
(付記3) 前記ファイルをバックアップするたびにバックアップファイルのファイル名を変更する、
ことを特徴とする付記1又は2に記載の制御プログラム。
(付記4) 情報処理装置の記憶部に記憶されたファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定し、
バックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する、
処理を前記情報処理装置が実行することを特徴とする制御方法。
(付記5) 記憶部に記憶されたファイルを開く処理を検知する検知部と、
前記検知部が前記ファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定する判定部と、
前記判定部がバックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する処理部と、
を備える情報処理装置。
(付記6) 前記処理部は、前記情報処理装置とは異なる装置に前記ファイルをバックアップする、
ことを特徴とする付記5に記載の情報処理装置。
(付記7) 前記処理部は、前記ファイルをバックアップするたびにバックアップファイルのファイル名を変更する、
ことを特徴とする付記5又は6に記載の情報処理装置。 In addition, the following additional remarks are disclosed regarding description of the above embodiment.
(Additional remark 1) When the process which opens the file memorize | stored in the memory | storage part of information processing apparatus is detected, the said file needs to be backed up based on the information set in association with the file type and / or the file. Determine if there is,
When it is determined that backup is necessary, the file backup process is executed as an interrupt process.
A control program that causes the information processing apparatus to execute processing.
(Additional remark 2) The said backup process is a backup process to the apparatus different from the said information processing apparatus,
The control program according to supplementary note 1, wherein:
(Appendix 3) Change the file name of the backup file every time the file is backed up.
The control program according to appendix 1 or 2, characterized in that:
(Additional remark 4) When the process which opens the file memorize | stored in the memory | storage part of information processing apparatus is detected, the said file needs to be backed up based on the information set in association with the type of the file and / or the file. Determine if there is,
When it is determined that backup is necessary, the file backup process is executed as an interrupt process.
A control method, wherein the information processing apparatus executes processing.
(Additional remark 5) The detection part which detects the process which opens the file memorize | stored in the memory | storage part,
When the detection unit detects a process of opening the file, a determination unit that determines whether the file needs to be backed up based on the type of the file and / or information set in association with the file When,
A processing unit that executes the backup process of the file as an interrupt process when the determination unit determines that backup is necessary; and
An information processing apparatus comprising:
(Additional remark 6) The said process part backs up the said file to the apparatus different from the said information processing apparatus,
The information processing apparatus according to appendix 5, characterized in that:
(Appendix 7) The processing unit changes the file name of the backup file every time the file is backed up.
The information processing apparatus according to appendix 5 or 6, characterized by the above.

10 利用者端末(情報処理装置)
22 システムコール解析部(検知部)
24 バックアップ要否判断部(判定部)
26 バックアップ処理部(処理部)
70 バックアップサーバ(異なる装置)
96 HDD(記憶部) 10 User terminal (information processing device)
22 System call analysis unit (detection unit)
24 Backup necessity judgment section (determination section)
26 Backup processing unit (processing unit)
70 Backup server (different devices)
96 HDD (storage unit)

Claims (5)

情報処理装置の記憶部に記憶されたファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定し、
バックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する、
処理を前記情報処理装置に実行させることを特徴とする制御プログラム。 If a process for opening a file stored in the storage unit of the information processing device is detected, whether or not the file needs to be backed up based on information set in association with the type of the file and / or the file Determine
When it is determined that backup is necessary, the file backup process is executed as an interrupt process.
A control program that causes the information processing apparatus to execute processing. 前記バックアップ処理は、前記情報処理装置とは異なる装置へのバックアップ処理である、
ことを特徴とする請求項1に記載の制御プログラム。 The backup processing is backup processing to a device different from the information processing device.
The control program according to claim 1, wherein: 前記ファイルをバックアップするたびにバックアップファイルのファイル名を変更する、
ことを特徴とする請求項1又は2に記載の制御プログラム。 Rename the backup file every time you back up the file,
The control program according to claim 1 or 2, characterized by the above. 情報処理装置の記憶部に記憶されたファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定し、
バックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する、
処理を前記情報処理装置が実行することを特徴とする制御方法。 If a process for opening a file stored in the storage unit of the information processing device is detected, whether or not the file needs to be backed up based on information set in association with the type of the file and / or the file Determine
When it is determined that backup is necessary, the file backup process is executed as an interrupt process.
A control method, wherein the information processing apparatus executes processing. 記憶部に記憶されたファイルを開く処理を検知する検知部と、
前記検知部が前記ファイルを開く処理を検知すると、前記ファイルの種別及び/または前記ファイルに対応付けて設定された情報に基づいて、前記ファイルのバックアップが必要であるか否かを判定する判定部と、
前記判定部がバックアップが必要であると判定した場合に、前記ファイルのバックアップ処理を割り込み処理として実行する処理部と、
を備える情報処理装置。 A detection unit for detecting a process of opening a file stored in the storage unit;
When the detection unit detects a process of opening the file, a determination unit that determines whether the file needs to be backed up based on the type of the file and / or information set in association with the file When,
A processing unit that executes the backup process of the file as an interrupt process when the determination unit determines that backup is necessary; and
An information processing apparatus comprising:
JP2018017973A 2018-02-05 2018-02-05 Control program, control method, and information processing device Pending JP2019135577A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018017973A JP2019135577A (en) 2018-02-05 2018-02-05 Control program, control method, and information processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018017973A JP2019135577A (en) 2018-02-05 2018-02-05 Control program, control method, and information processing device

Publications (1)

Publication Number Publication Date
JP2019135577A true JP2019135577A (en) 2019-08-15

Family

ID=67624150

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018017973A Pending JP2019135577A (en) 2018-02-05 2018-02-05 Control program, control method, and information processing device

Country Status (1)

Country Link
JP (1) JP2019135577A (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006163560A (en) * 2004-12-03 2006-06-22 Nec Corp Backup system and backup method
JP2010231656A (en) * 2009-03-27 2010-10-14 Nippon Telegraph & Telephone West Corp File management device
JP2017017617A (en) * 2015-07-03 2017-01-19 キヤノン株式会社 Image transmitter, control method therefor and program
US20170364681A1 (en) * 2016-06-21 2017-12-21 Acronis International Gmbh Methods of preserving and protecting user data from modification or loss due to malware

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006163560A (en) * 2004-12-03 2006-06-22 Nec Corp Backup system and backup method
JP2010231656A (en) * 2009-03-27 2010-10-14 Nippon Telegraph & Telephone West Corp File management device
JP2017017617A (en) * 2015-07-03 2017-01-19 キヤノン株式会社 Image transmitter, control method therefor and program
US20170364681A1 (en) * 2016-06-21 2017-12-21 Acronis International Gmbh Methods of preserving and protecting user data from modification or loss due to malware

Similar Documents

Publication Publication Date Title
US11057355B2 (en) Protecting documents using policies and encryption
US10460107B2 (en) Systems and methods for automatic snapshotting of backups based on malicious modification detection
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
JP6795684B2 (en) Malware detection and content item restoration
US9935973B2 (en) Systems and methods for automatic detection of malicious activity via common files
US9852289B1 (en) Systems and methods for protecting files from malicious encryption attempts
RU2617631C2 (en) Method for detection working malicious software runned from client, on server
EP3107024B1 (en) System and method of restoring modified data
US7697520B2 (en) System for identifying the presence of Peer-to-Peer network software applications
US20170324755A1 (en) Method and System for Mitigating the Effects of Ransomware
US8776236B2 (en) System and method for providing storage device-based advanced persistent threat (APT) protection
US10157290B1 (en) Systems and methods for encrypting files
KR101768082B1 (en) Securing method for protecting the ransomware
EP3384653A1 (en) Systems and methods for detecting malware infections via domain name service traffic analysis
EP3103048A1 (en) Content item encryption on mobile devices
US10887339B1 (en) Systems and methods for protecting a cloud storage against suspected malware
RU2622630C2 (en) System and method of modified data recovery
JP2017204173A (en) Data protection program, data protection method, and data protection system
KR102538694B1 (en) Data Protection System for Protecting Data from the Ransomware
JP2019135577A (en) Control program, control method, and information processing device
CA2629273C (en) System for identifying the presence of peer-to-peer network software applications
CN108063771B (en) Method and device for monitoring encrypted compressed file
USRE47628E1 (en) System for identifying the presence of peer-to-peer network software applications

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211018

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220308